Moet ransomware apart strafbaar worden gesteld?

persoon-persoonsgegeven-veilig-hek-beschermd-lek-dataCalifornië wordt zeer waarschijnlijk de eerste Amerikaanse staat die een aparte wet tegen ransomware krijgt, las ik bij Security.nl. Het wetsvoorstel verbiedt het infecteren van computers met ransomware en stelt dit gelijk aan afpersing. Er komt maximaal vier jaar cel op te staan. Dat voelt wat overdreven; afpersing is toch al lang strafbaar?

Het probleem in Californië lijkt te zijn dat hun afpersings-wetsartikel vereist dat er “force or fear” wordt gebruikt. Je kunt je afvragen of ransomware wel geweld of angst gebruikt om de betaling af te dwingen. Ransomware slaat je niet in elkaar en dreigt ook niet naar de pers te stappen als je niet snel betaalt. Dan ontstaat er dus een gaatje in de wet om te roepen dat het nog niet strafbaar is. Vandaar dit wetsvoorstel.

In Nederland hebben we twee wetsartikelen die ransomware strafbaar stellen. Het eerste artikel gaat eigenlijk over virussen en wormen (art. 350a Strafrecht). Het is strafbaar gegevens ter beschikking te stellen of verspreiden die zijn bestemd om schade aan te richten in een geautomatiseerd werk. Maar ransomware wordt ook verspreid en richt óók schade aan. Vier jaar cel maximumstraf. Daarnaast is het strafbaar (twee jaar cel) om data te wissen of onbruikbaar te maken.

Het tweede artikel is verwant aan de eigenlijke afpersing (art. 317 Strafrecht). Het is strafbaar om

met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, door geweld of bedreiging met geweld iemand [te dwingen] hetzij tot de afgifte van enig goed dat geheel of ten dele aan deze of aan een derde toebehoort, hetzij tot het aangaan van een schuld of het teniet doen van een inschuld,

Hier staat dus “met geweld of dreiging met geweld” en je kunt je afvragen of een ransomware-auteur wel ‘geweld’ toepast of daarmee dreigt. Geweld is toch meer iets dat je tegen mensen zelf inzet. Misschien tegen hardware (“ik sloop je auto als je niet betaalt”) maar data is geen hardware en valt daar dan niet onder. (Het aanverwante chanteren, dreigen met smaad of onthulling van een geheim, staat in artikel 318).

Maar, lid 2:

2 Met dezelfde straf wordt gestraft hij die de dwang, bedoeld in het eerste lid, uitoefent door de bedreiging dat gegevens die door middel van een geautomatiseerd werk zijn opgeslagen, onbruikbaar of ontoegankelijk zullen worden gemaakt of zullen worden gewist.

En dit is natuurlijk exact wat ransomware doet: dreigen dat gegevens voor altijd verloren zullen gaan tenzij er nu snel betaald wordt. Daarmee valt ransomware dus ‘gewoon’ onder afpersing, met een maximumstraf van maar liefst negen jaar cel.

Dus ja, een tikje gelegenheidswetgeving is het wel maar gezien de aard van het misdrijf toch niet onverstandig. De grote vraag natuurlijk blijft: hoe krijg je de plegers te pakken? Ransomware is een beetje de perfecte misdaad: via niet-traceerbare kanalen een dreiging uiten en via niet-traceerbare kanalen geld ontvangen.

Arnoud

22 reacties

  1. Het probleem in Californië lijkt te zijn dat hun afpersings-wetsartikel vereist dat er “force or fear” wordt gebruikt.

    Is “force” niet meer druk dan geweld? Dan past de huidige wet imo prima en zelfs met de angst om al je bestanden te verliezen kom je er al wel.

    In Nederland zie je ook wel dat in gevallen dat een wet niet voldoet er een nieuwe wet gemaakt wordt voor die specifieke situatie ipv dat de huidige wet zo wordt aangepast dat deze wel gewoon voldoet. Is daar een reden voor? Is het makkelijker een nieuwe wet te maken dan een bestaande aan te passen? Of is dat eerste gewoon sexyer voor een politicus?

    1. Ik gok dat dit wetsartikel meer een dingetje is van “kijk ons eens actief bezig zijn!” dan een effectief middel om ransomware tegen te gaan. Zoals Arnoud al stelt is het middels Tor en Bitcoin vrij eenvoudig om gevrijwaard te blijven van vervolging, terwijl het geld binnen blijft stromen.

      1. Het is misschien “mogelijk”, maar het is niet “vrij eenvoudig”. Als je je bitcoins wilt inwisselen voor euro’s zul je waarschijnlijk tegen de lamp lopen, omdat de professionele exchanges zich allemaal aan AML/KYC(*)-wetgeving houden. Je moet als crimineel dus eerst je bitcoins “witwassen”(**). Daar bestaan allerlei mogelijkheden voor, maar de kwaliteit wisselt nogal, en zeker bij grote bedragen is het moeilijk om “in de massa op te gaan”.

        Voor rechercheurs is het dan gewoon een kwestie van goed opletten en wachten tot de crimineel een keer een fout maakt. Privacy blijft moeilijk op het internet, en criminelen zijn meestal geen slimme mensen. Voor de politie is het tijdrovend speurwerk; ze zullen dus prioriteiten moeten stellen, en (hopelijk) achter de criminelen aan gaan, en niet achter onschuldige burgers die privacy verdienen. Dit is hoe het hoort te zijn.

        (*) Anti Money Laundering / Know Your Customer

        (**) Dit heeft een negatief imago, omdat het (zoals in dit geval) door criminelen wordt gebruikt, maar in wezen is het een privacy-beschermende maatregel, die ook legitieme doeleinden heeft.

  2. [te dwingen] hetzij tot de afgifte van enig goed dat geheel of ten dele aan deze of aan een derde toebehoort, hetzij tot het aangaan van een schuld of het teniet doen van een inschuld

    1 de afgifte van enig goed [..] 2 aangaan van een schuld 3 teniet doen van een inschuld

    Betaling van bitcoins is niet 2 of 3. Is het dan wel 1? Vallen bitcoins onder “enig goed”?

    Is afpersing voor andere doeleinden trouwens niet strafbaar? Als je een ambtenaar zou dwingen staatsgeheimen vrij te geven, zou dat dan niet strafbaar zijn? Of als je iemand zou dwingen naaktfoto’s te maken en aan jou te geven?

      1. En hoe zit dat dan met afdreiging door te dreigen om iemand aan te klagen voor een strafbaar feit wat hij niet heeft gedaan, of door te dreigen een civiele zaak aan te spannen voor iets wat helemaal niet aan de orde is?

        Want menig advocatenkantoor en deurwaarderskantoor kan zo naar de rechter stappen om financiëel minder bedeelden aan te klagen, omdat ze geen geld hebben om een verdediging te voeren. Met name als er “auteursrechten” of “octrooien” geroepen worden is dat erg makkelijk, want dan is een aanklacht zo te verzinnen en keren rechtsbijstandsverzekeringen niet uit.

    1. Nee, in het Nederlandse strafrechtsysteem is het zo (geregeld in artikel 57 WvS) dat er in dat geval één straf wordt opgelegd voor alle feiten tezamen, waarvan het maximum een derde hoger is dan de straf voor het plegen van het enkele feit (of de som van de straffen indien dat lager is, maar dat is bij gelijksoortige feiten natuurlijk niet het geval). In dit geval zal er dus één veroordeling voor afpersing, meermalen gepleegd volgen, met een maximumstraf van 12 jaar (het virus/wormartikel is ook geldig, maar artikel 56 WvS stelt dat in dit geval (verschillende strafbare acties die echter dusdanig in verband staan dat ze als een voortgezette handeling moeten worden beschouwd) enkel de handeling met de zwaarste strafmaat daadwerkelijk bestraft wordt)

      1. Als de ransomware 100 keer schade aanricht neem ik aan dat die schade wel 100 keer (privaatrechtelijk) vergoed zou moeten worden.

        Kunnen de slachtoffers daar ook ieder afzonderlijk een privaatrechtelijke zaak voor aanspannen als de dader niets of niet voldoende wil vergoeden?

        Dat zou de dader flink op (advocaten)kosten kunnen jagen, of is dat in het privaatrecht ook ingeperkt?

        1. Iedereen die schade geleden heeft kan de dader (of willekeurig een van de daders) aansprakelijk stellen. Als de dader het niet op een rechtszaak laat aankomen kan hij/zij de bijkomende kosten in de hand houden… Ook als het wel op een rechtszaak aankomt dan houdt de standaardvergoeding voor advocaatkosten die een rechter kan opleggen de kosten voor de advocaat van de tegenpartij beperkt.

          1. Ja, echter ransomware wordt typisch op vele computers tegelijkertijd geïnstalleerd (ik noemde 100 n.a.v. de opmerking van Willem, maar in de praktijk gaat het snel om VEEL grotere aantallen). Als de schade dan door één crimineel moet worden vergoed zal die snel tegen faillissement aanlopen. Dat kan een relatief zware “straf” zijn, maar daarmee heb ik in dit geval eigenlijk weinig medelijden.

            Echter als het om een m.i. minder criminele actie gaat, lijken de gevolgen van het civielrecht soms buitenproportioneel op Internet. Bijvoorbeeld iemand zet met één actie per ongeluk zijn/haar hele media-bibliotheek op internet (stond netjes in een private cloud folder, tussen een aantal folders die verder allemaal op “publiek”moesten), waardoor mogelijk de rechten van tienduizenden auteursrechthebbenden zijn geschonden. Als je dan van iedere rechthebbende claims ontvangt, lijkt het privaatrecht tot buitensporige “straffen” (okay, schadevergoedingen) te kunnen leiden, waardoor zowel privé-personen als hele bedrijven failliet kunnen gaan.

            Vandaar mijn vraag: (hoe) perkt het privaatrecht dit in?

            Merk op dat het ook een kind of werknemer kan zijn die de schade veroorzaakte, waar ouder of bedrijf verantwoordelijk voor is.

        1. Dat hangt er vanaf of het één voortgezette overtreding is of meerdere, toevallig feitelijk vergelijkbare overtredingen. In het recht kennen ze het concept van de “voortgezette handeling”, oftewel nog steeds bezig zijn met hetzelfde delict. Belangrijk daarbij is vooral de vraag, kon je redelijkerwijs je gedrag aanpassen tussen de twee momenten. In deze zaak vond de rechtbank een paar honderd meter rijden tussen twee metingen genoeg:

          Tussen de beide meetpunten ligt een afstand van enkele honderden meters. Naar het oordeel van de kantonrechter is betrokkene tussen de meetpunten afdoende in de gelegenheid geweest snelheid te minderen.

          1. Een goed voorbeeld zou zijn: Je kan geen prent krijgen van 2 trajectcontroles die (overlappend) over hetzelfde traject hebben gemeten. Dan zijn het 2 bonnen voor hetzelfde gepleegde feit.

  3. 2 Met dezelfde straf wordt gestraft hij die de dwang, bedoeld in het eerste lid, uitoefent door de bedreiging dat gegevens die door middel van een geautomatiseerd werk zijn opgeslagen, onbruikbaar of ontoegankelijk zullen worden gemaakt of zullen worden gewist.
    Maar er is geen dwang uitgeoefend door de bedreiging dat gegevens ontoegankelijk zullen worden gemaakt. Dat is al gebeurd voordat de gebruiker weet dat hij een probleem heeft. De software gaat namelijk niet pas versleutelen als je bepaalde dingen niet doet.

      1. Hier stelde je nog dat gegevens reeds ontoegankelijk zijn zodra ze zijn versleuteld en degene met de sleutel die niet wil afgeven. Die lezing lijkt mij de juiste. In de MvT bij art. 125o Sv is bijvoorbeeld opgemerkt:

        Onder ontoegankelijkmaking van gegevens wordt verstaan het treffen van maatregelen om te voorkomen dat de beheerder van een geautomatiseerd werk of derden verder van de gegevens kennis nemen of gebruikmaken (..) De definitie van ontoegankelijkmaking laat echter ook andere maatregelen toe, mits die kunnen strekken ter voorkoming van de verdere kennisneming van die gegevens. (..) Met behulp van software kunnen gegevens worden versleuteld (..)
        Van afpersing kan daarom geen sprake zijn.

    1. Veel ransomware heeft een deadline waarna de sleutel verwijdert wordt op de server (al dan niet na een tussentijdse deadline die gepaard gaat met een prijsverhoging). Er is dus vaak weldegelijke sprake van een bedreiging dat de gegevens (permanent) ontoegankelijk zullen worden gemaakt.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.